SpringCloud + Hashicorp Vault + Hashicorp领事

Question

我正在测试Vault + Consul之间的集成，以保存我的秘密并将其存储在多台机器中。我可以从Vault查看和插入/检索我的密钥，而不会出现任何问题。

现在，我正在尝试配置SpringCloud以使用来自Vault的秘密(我遵循了https://cloud.spring.io/spring-cloud-vault/reference/html/页面)，我的bootstrap.yml类似于下面的示例：

    host: localhost
    port: 8200
    scheme: https
    uri: https://localhost:8200
    connection-timeout: 5000
    read-timeout: 15000
    config:
        order: -10

而且它也能工作！我的应用程序可以看到Vault中的秘密。

我想知道的是领事和这件事有什么关系？因为在使用领事的时候，我认为没有必要插入金库的地址，领事应该负责告知这一点。但我没有找到任何与此相关的有用信息。

有什么想法吗？或者领事只会存储我的秘密，而我仍然需要连接到保险库？

Answer 1

在Consul和Vault之间有几个潜在的集成点。

Consul可用作文件库(https://www.vaultproject.io/docs/configuration/storage/consul)的存储后端。在Vault 1.4之前，建议使用Consul作为Vault的存储后端。Vault 1.4.0引入了Vault自己的集成存储(https://www.vaultproject.io/docs/concepts/integrated-storage)的一般可用性，这消除了对领事的依赖。

产品集成的另一种方式是使用Vault的Consul Secrets Engine获取用于访问领事的身份验证令牌。Spring Cloud Vault使用它通过Vault (https://cloud.spring.io/spring-cloud-vault/reference/html/#vault.config.backends.consul)获取领事令牌。

如果在Vault中存储秘密/密钥满足您的需要，则不应将Consul添加到您的环境中。